about NtWaitForSingleObject

最新推荐文章于 2024-01-15 16:28:40 发布
最新推荐文章于 2024-01-15 16:28:40 发布
阅读量2.5k 收藏
点赞数
文章标签: exe hook 多线程 编译器 测试 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaohengyuan/article/details/5848537
版权

最近忙个程序,遇到不少问题,当然也都解决了。我感觉我记性不大好。别以后再碰见了想不起来为啥,就当这个是记事吧。

这个问题的目的是监控所有对NtWaitForSingleObject的调用,并尽可能的回溯出调用堆栈,然后用OutputDebugString输出。

这个问题比较复杂,因为NtWaitForSingleObject是ring3下最底层的Wait系列函数了,很多函数都会用到,比如那个OutputDebugString。这样就有个重入问题。 一开始我用的是hook NtWaitForSingleObject函数,跳到我的函数里,鉴于这些native函数太简单,就没有跳转回去,直接把他的3行代码写到我的函数里,当然之前加上对是否是重入的判断。这个判断很简单,就判断一下返回地址是否是OutputDebugString里所使用的地址,是的话直接跳过监控。这种方法大致可行。 虽然可能因为那个不完美的判断漏过一些。用这种方法,编个EXE测试是可行的。但是应用到目标就不可以了,目标比较变态,经常遇见C语言写的函数不能用,得写__declspec(naked)的才行。

后来想想 就放弃了跳转到我的hook,直接把NtWaitForSingleObject写成个0xCC,然后再异常处理里玩他,方法是先写回原值,然后回溯、输出。在EXE里也灰常成功。 弄到dll里,果然很诡异。把几个局部变量弄成全局的,好了一些,把几个函数也弄成汇编的,又好了一些。但是始只能回溯几次。

为什么在EXE里测试,灰常成功那? 一想,原来是同步问题。我的EXE是单线程的。目标里面,是多线程的。明显是当某个线程正在恢复时,其他线程又给写成0xCC了。

啊,这需要个同步呀。然而我做掉的,就是用来同步的。还是模拟个传说中的 自旋锁 吧:

 

DWORD g_SpinCount = 0;

void __declspec(naked) MySpinEnter()
{
 __asm
 {
BEGIN:
  mov eax,0;
  lea ecx,g_SpinCount;
  mov edx,1
  lock cmpxchg [ecx],edx;
  jz RETURN;
  call dword ptr[SwitchToThread];
  jmp BEGIN;
RETURN:
  ret;

 }

}
void __declspec(naked) MySpinLeave()
{
 __asm
 {
  mov eax,0;
  lock xchg eax,g_SpinCount;
  ret;
 }
}

 

哎,谁知道怎么让编译器在函数开头加一些恶心的代码,直接翻译我的代码那? 给说一下,一起交流交流呗.... 

zhaohengyuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ZwWaitForSingleObject / NtWaitForSingleObject
给自己的笔记
04-26 4052
/*************************************************** ZwWaitForSingleObject ZwWaitForSingleObject waits for an object to become signaled. ***************************************************/ NTSYSAPI N
WaitForSingleObject函数
liutao6982的专栏
06-03 1019
WaitForSingleObject函数的使用<br />WaitForSingleObject<br />当指定的对象处于有信号状态或者等待时间结束的状态时,此函数返回。<br />DWORD WaitForSingleObject(<br />HANDLE hHandle,<br />DWORD dwMilliseconds<br />);<br />参数:<br />hHandle:指定对象或事件的句柄;<br />dwMilliseconds: 等待时间,以毫妙为单位,当超过等待时间时,此函数将返
WaitForSingleObject
weixin_40332490的博客
04-13 1487
函数功能 使用WaitForSingleObject函数来等待一个内核对象变为已通知状态 函数原型 DWORD WaitForSingleObject( HANDLE hObject, //指明一个内核对象的句柄 DWORD dwMilliseconds); //等待时间 函数参数 函数返回值 该函数需要传递一个内核对象句柄,该句柄标识一个内核对象 ① 如果该内核对象处于未通知状态,则该函数导致...
多线程锁详解之【WaitForSingleObject
qq492927689的博客
06-04 3465
WaitForSingleObject
WaitForSingleObject的用法
寻找强烈无比的存在感!!!
10-25 804
WaitForSingleObject的用法                                         1.WaitForSingleObject的用法 DWORD WaitForSingleObject(                      HANDLE hHandle,                       DWORD dwMil
cPP.zip_About Language
09-20
this document has the basic information about the c language. therefore, this document is important for the students
cpp.rar_About Language
09-14
basic of cpp . explanation about the hardware of computer system. and also the explanation of programming language is provided
fronware_about
08-27
fronware about开发技组合组合技术,分解新的
tcl.odt.rar_About Language
09-14
this document if for learning tcl script many thing about tcl is converted in this doc it is useful for beginners who want to learn tcl programming language it is odt(linux word) extention
about源代码
09-25
简单的web程序
WaitForSingleObject 的内部实现原理
markqian86的专栏
02-09 3317
WaitForSingleObject 是 kernel32.dll 的导出函数,WaitForSingleObject 调用了ntdll.dll 的 NtWaitForSingleObjectNtWaitForSingleObject 又调用了 KeWaitForSingleObject WaitForSingleObject -> NtWaitForSingleObject -> KeWa
Windows事件等待学习笔记(三)—— WaitForSingleObject函数分析
qq_41988448的博客
03-04 2662
Windows事件等待学习笔记(三)—— WaitForSingleObject函数分析前言要点回顾WaitForSingleObjectNtWaitForSingleObjectKeWaitForSingleObject:上半部分关键循环总结关于强制唤醒实验:证明等待块与等待块表的关系第一步:编译并运行以下代码第二步:再WinDbg中找到该进程第三步:查看线程信息 前言 一、学习自滴水编程达人...
WaitForSingleObject函数用法及互斥对象的理解 .
zdhlwt2008的博客
08-21 2817
用户模式的线程同步机制效率高,如果需要考虑线程同步问题,应该首先考虑用户模式的线程同步方法。   但是,用户模式的线程同步有限制,对于多个进程之间的线程同步,用户模式的线程同步方法无能为力。这时,只能考虑使用内核模式。   Windows提供了许多内核对象来实现线程的同步。对于线程同步而言,这些内核对象有两个非常重要的状态:“已通知”状态,“未通知”状态(也有翻译为:受信状态,未受信状态)。W
内核同步对象
~。~|||
06-12 8689
Windows NT提供了五种内核同步对象(Kernel Dispatcher Object),你可以用它们控制非任意线程(普通线程)的流程。表4-1列出了这些内核同步对象的类型及它们的用途。在任何时刻,任何对象都处于两种状态中的一种:信号态或非信号态。有时,当代码运行在某个线程的上下文中时,它可以阻塞这个线程的执行,调用KeWaitForSingleObject或KeWaitForMultipl
WaitForSingleObject()函数的完全解读
weixin_34096182的博客
12-18 451
2019独角兽企业重金招聘Python工程师标准>>> ...
WaitForSingleObject 函数的诸多用途与使用场景总结
最新发布
dvlinker的技术专栏
01-15 3万+
WaitForSingleObject 函数的诸多用途与使用场景总结
应用死锁的分析
mergerly的专栏
02-08 7575
一款软件嘟嘟启动时无法启动,卡死在某个地方,界面显示不出来,于是分析了一番。 启动利器Windbg,Attach到目标进程dudu_d.exe。 首先显示一下所有堆栈 0:007> ~*kb 0 Id: d2c.1abc Suspend: 1 Teb: 7efdd000 Unfrozen ChildEBP RetAddr Args to Child 0
4.WaitForSingleObject函数分析
My classmates
10-26 787
无论可等待对象是何种类型,线程都是通过: WaitForSingleObject WaitForMultipleObjects 进入等待状态的,这两个函数是理解线程等待与唤醒进制的核心 WaitForSingleObject参数说明 WaitForSingleObject对应的内核函数: NTSTATUS stdcall NtWaitForSingleObject ( HANDLE Handl...
hexo编写about页面
06-01
要编写 Hexo 的 About 页面,您可以按照以下步骤进行操作: 1. 在 Hexo 的根目录下执行以下命令创建 About 页面: ``` hexo new page about ``` 执行完命令后,您会在 source 目录下的 pages 文件夹中看到一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值